Aramaya Dön

Danıştay 13. Daire Başkanlığı

Esas No: E. 2021/1364
Karar No: K. 2023/2558
Karar Tarihi: 23.05.2023
Karar Sonucu: REDDİNE
Hukuk Alanı: İdare Hukuku

İçtihat Pro — Emsal Kararlarla Güçlü Savunma — ictihatpro.com

Danıştay 13. Daire Başkanlığı 2021/1364 E. , 2023/2558 K. "İçtihat Metni" T.C. D A N I Ş T A Y

ONÜÇÜNCÜ DAİRE

Esas No: 2021/1364

Karar No: 2023/2558

DAVACI: … A.Ş.

VEKİLLERİ: Av. …

Av. …

DAVALI: … Kurumu

VEKİLİ: Av. …

DAVANIN KONUSU:

04/12/2020 tarih ve 31324 sayılı Resmî Gazete'de yayımlanan Elektronik Haberleşme Sektöründe Kişisel Verilerin İşlenmesi ve Gizliliğin Korunmasına İlişkin Yönetmeliğin (Yönetmelik) 2. maddesinin birinci fıkrasının, 7. maddesinin birinci fıkrasının, 8. maddesinin birinci fıkrasının (ç) ve (e) bentlerinin, 11. maddesinin birinci fıkrasının, 13. maddesinin ikinci ve dördüncü fıkralarının, Geçici 1. maddesinin ikinci fıkrasının iptali istenilmektedir. DAVACININ İDDİALARI : 6698 sayılı Kişisel Verilerin Korunması Kanunu'nun bütün sektörleri kapsayan genel nitelikte bir kanun olduğu, bu kapsamda elektronik haberleşme sektöründe faaliyet gösteren işletmecilerin de 6698 sayılı Kanun kapsamında yükümlülüklerinin bulunduğu, bunun dışında 5809 sayılı Elektronik Haberleşme Kanunu'nun 51. maddesi ile elektronik haberleşme sektöründe, kişisel verilerin işlenmesi ve gizliliğin korunmasına ilişkin temel kuralların belirlendiği, dava konusu Yönetmeliğin 6698 ve 5809 sayılı Kanunlara aykırı hükümler içerdiği, 5809 sayılı Kanun'un verdiği yetki sınırlarının aşıldığı, Anayasa Mahkemesi'nin 09/04/2014 tarih ve E:2013/122, K:2014/74 sayılı kararı uyarınca, davalı idarenin düzenleme yapma yetkisinin teknik ve uygulamayı esas alan kurallarla sınırlı olduğu, ancak dava konusu maddelerde yer alan düzenlemelerin teknik ve uygulamayı esas alan detayların belirlenmesi düzeyinde olmadığı, 5809 sayılı Kanun'un 51. maddesinde yer alan temel ilkeler ile uyumsuz, bu kuralları aşan ve yeni hukuki normlar koyan hükümler içerdiği; 6698 sayılı Kanun'un 22. maddesinin (h) bendi uyarınca, davalı idarece Kişisel Verileri Koruma Kurulu'nun (KVKK) görüşünün alınmış olması gerektiği, görüş alınmamış olması hâlinde usûlüne uygun olarak çıkarılmamış bulunan Yönetmeliğin iptalinin gerektiği; Yönetmeliğin "Kapsam" başlıklı 2. maddesinin 1. fıkrası yönünden; tüzel kişilere ait verilerin kişisel veri kapsamında olmadığı, 6698 sayılı Kanun'da sadece gerçek kişilere ait kişisel verilerin koruma altına alındığı, tüzel kişilere ait verileri de koruma kapsamına alan dava konusu düzenlemenin üst hukuk kurallarına aykırı olduğu; Yönetmeliğin "Riskin ve kişisel veri ihlalinin bildirilmesi" başlıklı 7. maddesinin 1. fıkrası yönünden; "belirli risk" kavramının sınırlarının belirsiz olduğu, hangi durumlarda bu riskin oluşmuş sayılacağının düzenlenmediği, sınırları belirsiz ve şartları anlaşılmayan bir yükümlülük öngörülmesinin 6698 sayılı Kanun'un kapsamını genişlettiği, düzenlemede kamu yararının bulunmadığı, aboneyi etkileyen herhangi bir ihlâl gerçekleşmemişken risk aşamasında olan her durumun abonelere bildirilmesinin işletmeciler ile aboneler arasındaki güven ilişkisini zedeleyeceği; Yönetmeliğin "Açık rıza alma şartları" başlıklı 8. maddesinin 1. fıkrasının (ç) bendi yönünden; gerek 6098 sayılı Borçlar Kanunu'nda, gerekse 5809 sayılı Kanun'da "açık rıza" alınmasına ilişkin herhangi bir şekil şartının düzenlenmediği, dolayısıyla olumlu irade beyanı (açık rıza) alınmasının "evet/onay/kabul" şeklinde üç kelime ile sınırlandırılamayacağı; Yönetmeliğin "Açık rıza alma şartları" başlıklı 8. maddesinin 1. fıkrasının (e) bendi yönünden; sadece trafik ve konum verilerinin üçüncü taraflara aktarımının söz konusu olduğu durumlarda, bilgilendirme yapılarak tekrar ve ayrıca açık rıza alınmasının kanunî dayanağının bulunmadığı, 5809 sayılı Kanun'un 51. maddesinin 6. fıkrası uyarınca alınan "açık rıza"nın yeterli olduğu, yeniden açık rıza alınmasına ilişkin düzenlenmenin kanunu aşar nitelikte olduğu; Yönetmeliğin "Otomatik çağrı yönlendirme" başlıklı 11. maddesinin 1. fıkrasının yönünden; otomatik çağrı yönlendirme uygulamasının kapsamının belirsiz şekilde genişletildiği, ayrıca düzenlemenin bu hâliyle uygulama imkânının bulunmadığı, zira, düzenleme kapsamındaki beklentinin netleştirilebilmesi için tüm operatörlerinin bir araya gelerek ortak bir çalışma yapması gerektiği, ayrıca, elektronik haberleşme cihazında (telefon vb.) başka bir numaraya yönlendirme özelliğinin bulunması durumunda yönlendirmeyi engellemenin mümkün olmadığı; Yönetmeliğin "Abonenin/kullanıcının diğer hakları" başlıklı 13. maddesinin 2. fıkrası yönünden açık rıza bulunması durumunda dâhi, kişisel verilerin işlenmesinin durdurulmasına dair düzenlemenin kanunî dayanağının bulunmadığı, usûlüne uygun olarak alınan açık rızaya rağmen, kişisel verilerin işlenmesinin durdurulmasının abone iradesini yok saydığı, böylesi bir kısıtlamanın ikincil düzenlemelerle getirilmeyeceği, abonelerin vermiş oldukları rızaların her yıl mutad olarak hatırlatılmasının, abone ve kullanıcıların zihninde soru işaretleri oluşturacağı, abonelerin verdikleri izinleri zaten diledikleri zaman geri alabilme haklarının bulunduğu, her yılın üçüncü çeyreğinde mutad bilgilendirme yükümlülüğü getirilmesinin işletmecilere gereksiz bir iş yükü oluşturacağı; Yönetmeliğin "Abonenin/kullanıcının diğer hakları" başlıklı 13. maddesinin 4. fıkrası yönünden; abonelerin mevcut iradesinin hiçe sayıldığı, kanunî düzenlemelerin sınırının aşıldığı, davalı idarenin abonenin rızasını geri alma yetkisinin bulunmadığı, rızanın geri alınmasının abone tarafından gerçekleştirilmesinin veya buna ilişkin kanunî bir düzenlemenin bulunmasının gerektiği, aboneliğin sona ermesi ile açık rızaların geri alınmış olmasının, sözleşme ilişkisinden kaynaklanan hakların kısıtlanmasına sebep olacağı, ayrıca işletmecilerin söz konusu izinleri alabilmek için sarf ettikleri iş gücü ve maliyetler dikkate alındığında, mevzuata uygun olarak alınan izinlerin abonelik sonlandığında geri alınmış sayılmasının, işletmelerin bu konuda yapmış oldukları yatırımların heba olması sonucunu doğuracağı, aboneliği sonlanan tüketicilerin kendileri için avantajlı olan tekliflerden haberdar olma hakkından mahrum kalacakları; Yönetmeliğin Geçici 1. maddesinin 2. fıkrası yönünden; hukuka uygun olarak alınmış rızalara istinaden gerçekleştirilen veri işleme faaliyetinin, kullanıcıların talepleri olmamasına rağmen durdurulmasının kanunî dayanağının bulunmadığı, abonelerin önceden vermiş oldukları rızalarını her zaman geri alma haklarının bulunduğu belirtilerek, dava konusu düzenlemelerin hukuka aykırı olduğu ileri sürülmüştür. DAVALININ SAVUNMASI :

Dava konusu Yönetmeliğinin tek dayanak maddesinin 5809 sayılı Kanun'un 51. maddesi olmadığı, Kurumun görev ve yetkilerinin söz konusu maddede belirtilenler ile sınırlı olmadığı, Anayasa Mahkemesi'nin 09/04/2014 tarih ve E:2013/122, K:2014/74 sayılı kararı sonrasında 5809 sayılı Kanun'un 51. maddesinde yapılan düzenleme ile elektronik haberleşme sektöründe kişisel verilen işlenmesi ve gizliliğinin korunmasına ilişkin temel kuralların belirlendiği, konuya ilişkin genel çerçevenin çizildiği, dava konusu Yönetmeliğin Kanunu aşar nitelikte düzenlemeler içermediği, ayrıca, 6698 sayılı Kanun dava konusu Yönetmeliğin dayanakları arasında yer almamış olmasına rağmen, Yönetmelik hazırlanırken anılan Kanun'un 22. maddesi uyarınca Kişisel Verileri Koruma Kurulu'ndan görüş alındığı; Yönetmeliğin "Kapsam" başlıklı 2. maddesinin 1. Fıkrası yönünden; 6698 sayılı Kanun'un kişisel verilerin korunması konusunda ulusal düzeyde genel kanun niteliğinde olduğu, 5809 saylı Kanun'un ise elektronik haberleşme sektöründe kişisel verilen işlenmesi ve gizliliğinin korunmasına ilişkin özel kanun niteliğinde olduğu, dava konusu Yönetmeliğinin dayanağı olan 5809 sayılı Kanun'da yer alan "abone" ve "kullanıcı" tanımlarının tüzel kişileri kapsadığı, 2002/58/AT e-Gizlilik Direktifi'nde yer alan düzenlemelerin de tüzel kişileri kapsadığı, öte yandan, dava konusu Yönetmeliğinin dayanakları arasında 6698 sayılı Kanun bulunmamakla birlikte, Kişisel Verileri Koruma Kurulu'ndan görüş alınmak suretiyle söz konusu Kanun ile uyumun sağlandığı; Yönetmeliğin "Riskin ve kişisel veri ihlalinin bildirilmesi" başlıklı 7. maddesinin 1. Fıkrası yönünden; dava konusu Yönetmeliğin dayanağının 5809 sayılı Kanun'un ilgili maddeleri olduğu, elektronik haberleşme sektöründe yer alan verilerin taşıdığı hassasiyet dikkate alındığında, sektörün ihtiyaçları, uluslararası düzenlemeler ve teknolojik gelişmeler dikkate alınarak düzenleme yapıldığı, 2002/58/AT e-Gizlilik Direktifi'nde de benzer düzenlemelerin yer aldığı, tüketicilerin korunmasının esas alındığı, düzenlemenin elektronik haberleşme sektörünün dinamik yapısına uygun olduğu; Yönetmeliğin "Açık rıza alma şartları" başlıklı 8. maddesinin 1. fıkrasının (ç) bendi lönünden; dava konusu Yönetmeliğin dayanağının 5809 sayılı Kanun'un ilgili maddeleri olduğu, Yönetmeliğin hazırlık sürecinde sektörün ihtiyaçları, uluslararası düzenlemeler ve teknolojide yaşanan gelişmelerin göz önünde bulundurulduğu, açık rızaya ilişkin irade beyanlarına yönelik elektronik haberleşme sektöründeki suistimale açık (abonelik sözleşmelerindeki veri işleme kutucuğunun bazı bayilerin kendileri tarafından işaretlenmesi vb.) uygulamaların dikkate alındığı, Kurumun tüketicilerin hak ve menfaatlerinin gözetilmesine ilişkin görevi ve tüketicilerin korunmasına ilişkin işletmecilere yükümlülük getirebilme yetkisi kapsamında abonelerin/kullanıcıların menfaatine uygun olarak irade beyanlarının doğru ve gerçek olması noktasında daha etkin yöntemler benimsenmesi yönünde sektörde ortaya çıkan ihtiyaçların dikkate alındığı, dava konusu Yönetmeliğin dayanakları arasında 6698 sayılı Kanun bulunmamakla birlikte, Kişisel Verileri Koruma Kurulu'ndan görüş alınmak suretiyle söz konusu Kanun ile uyumun sağlandığı; Yönetmeliğin "Açık rıza alma şartları" başlıklı 8. maddesinin 1. fıkrasının (e) bendi yönünden; dava konusu düzenlemenin yasal dayanağının bulunduğu, trafik ve konum verilerinin hassasiyeti göz önüne alındığında üçüncü taraflara/yurt dışına aktarım öncesinde abonelerin bilgilendirilerek tekrar açık rızalarının alınmasının şeffaflık ilkesi, dürüstlük kuralı ve bilgilendirme yükümlülüğünün bir gereği olduğu, dava konusu Yönetmeliğinin dayanakları arasında 6698 sayılı Kanun bulunmamakla birlikte, Kişisel Verileri Koruma Kurulu'ndan görüş alınmak suretiyle söz konusu Kanun ile uyumun sağlandığı, üçüncü taraflara veri aktarımına onay vermiş aboneler/kullanıcılar için aktarılacak verinin kapsamı, aktarılacak tarafın adı ve açık adresi, aktarma amacı ve süresi, üçüncü tarafın yurt dışında olması halinde verinin aktarılacağı ülkenin adı gibi abonenin rızasının devam edip etmeyeceği yönündeki iradesini doğrudan etkileyen bilgilerin değişmesi durumunda abonelerden/kullanıcılardan tekrar rıza alınmasının yerinde, abonelerin menfaatlerine ve hukuka uygun olduğu; Yönetmeliğin "Otomatik çağrı yönlendirme" başlıklı 11. maddesinin 1. fıkrası yönünder;, Kurumun tüketicilerin hak ve menfaatlerinin gözetilmesine ilişkin görevi ve tüketicilerin korunmasına ilişkin işletmecilere yükümlülük getirebilme yetkisi kapsamında, abonelerin/kullanıcıların menfaatine uygun olarak istenmeyen otomatik çağrı yönlendirmelerinin durdurulmasının amaçlandığı, 2002/58/AT e-Gizlilik Direktifi'nde de otomatik çağrı yönlendirmelerinin engellenmesine yönelik yükümlülükler getirildiği; Yönetmeliğin "Abonenin/kullanıcının diğer hakları" başlıklı 13. maddesinin 2. fıkrasının yönünden; şeffaflığın sağlanması ve bilgilendirmeye ilişkin olarak 5809 sayılı Kanun ile Kuruma verilen görev ve yetkiler kapsamında, tüketici hak ve menfaatlerinin korunmasına yönelik olarak düzenleme yapıldığı, abone/kullanıcıların işlenecek verilere yönelik bir defa rıza verip, sonrasında bir daha bilgilendirilmemesinin tüketicilerin hak ve menfaatlerine aykırı bir durum oluşturduğu, yılda bir defa bilgilendirme yapılmasının işletmecilere ciddi bir yük getirmediği gibi abone ve son kullanıcılar açısından ciddi bir kazanım oluşturduğu, bilgilendirme yapılıncaya kadar veri işleme faaliyetinin durdurulmasının, 5809 sayılı Kanun'da yer alan temel ilkeler başta olmak üzere tüketici hak ve menfaatlerinin korunması ile şeffaflık ve bilgilendirme yükümlülüğü kapsamında gerekli ve hukukî olduğu; Yönetmeliğin "Abonenin/kullanıcının diğer hakları" başlıklı 13. maddesinin 4. fıkrası yönünden; dava konusu Yönetmeliğin dayanağının 5809 sayılı Kanun'un ilgili maddeleri olduğu, Yönetmeliğin hazırlık sürecinde sektörün ihtiyaçları, uluslararası düzenlemeler ve teknolojide yaşanan gelişmelerin göz önünde bulundurulduğu,, abonelik ilişkisinin sonlandığını ve bu anlamda işletmeci ile aktif herhangi bir hukukî bağı kalmadığını düşünen tüketicilerin doğal olarak, işletmecilerin kişisel verilerini işleme faaliyetine son vereceği beklentisine gireceği, abonelik sonrasında dâhi bu rızaların geçerli olduğunun kabulünün pasif abonelerin/kullanıcıların verilerinin işlenmeye devam etmesine ve ciddi düzeyde tüketici mağduriyetine sebep olacağı, dava konusu Yönetmeliğinin dayanakları arasında 6698 sayılı Kanun bulunmamakla birlikte, Kişisel Verileri Koruma Kurulu'ndan görüş alınmak suretiyle söz konusu Kanun ile uyumun sağlandığı; Yönetmeliğin Geçici 1. maddesinin 2. fıkrası yönünden; Yönetmeliğin yürürlük tarihinden önce rızası alınarak aboneliği sonlanmasına rağmen açık rızaları olmaksızın abonelerin kişisel verilerinin pazarlama gibi açık rıza gerektiren amaçlarla Yönetmeliğin yürürlük tarihi sonrasında da işlenmeye devam dilmesinin önüne geçilmesinin amaçlandığı, dava konusu Yönetmeliğin dayanağının 5809 sayılı Kanun'un ilgili maddeleri olduğu, dava konusu Yönetmeliğin dayanakları arasında 6698 sayılı Kanun bulunmamakla birlikte, Kişisel Verileri Koruma Kurulu'ndan görüş alınmak suretiyle söz konusu Kanun ile uyumun sağlandığı belirtilerek dava konusu düzenlemelerde hukuka aykırılık bulunmadığı savunulmaktadır. DANIŞTAY TETKİK HÂKİMİ …'İN DÜŞÜNCESİ : Davanın reddi gerektiği düşünülmektedir.

DANIŞTAY SAVCISI …'NIN DÜŞÜNCESİ : Dava, 04/12/2020 tarih ve 31324 sayılı Resmî Gazete'de yayımlanan Elektronik Haberleşme Sektöründe Kişisel Verilerin İşlenmesi ve Gizliliğin Korunmasına İlişkin Yönetmeliğin 2. maddesinin 1. fıkrasının, 7. maddesinin 1. fıkrasının, 8. maddesinin 1. fıkrasının (ç) ve (e) bentlerinin, 11. maddesinin 1. fıkrasının, 13. maddesinin 2.ve 4. fıkralarının, Geçici 1. maddesinin 2. fıkrasının iptali istemiyle açılmıştır.

Anayasa'nın "Özel hayatın gizliliği” başlıklı 20. maddesinin 1. fıkrasında; "Herkes, özel hayatına ve aile hayatına saygı gösterilmesini isteme hakkına sahiptir. Özel hayatın ve aile hayatının gizliliğine dokunulamaz", 3. fıkrasında; "Herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir. Bu hak; kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilme, bu verilere erişme, bunların düzeltilmesini veya silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenmeyi de kapsar. Kişisel veriler, ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebilir. Kişisel verilerin korunmasına ilişkin esas ve usuller kanunla düzenlenir", "Tüketicilerin korunması” başlıklı 172. maddesinde; "Devlet, tüketicileri koruyucu ve aydınlatıcı tedbirler alır, tüketicilerin kendilerini koruyucu girişimlerini teşvik eder. " düzenlemelerine yer verilmiştir. 5809 sayılı Elektronik Haberleşme Kanunu'nun "İlkeler” başlıklı 4. maddesinin 1. fıkrasında; (b) Tüketici hak ve menfaatlerinin gözetilmesi, (l) Bilgi güvenliği ve haberleşme gizliliğinin gözetilmesî, elektronik haberleşme hizmetinin sunulmasında ve bu hususta yapılacak düzenlemelerde göz önüne alınacak ilkeler arasında sayılmış, Kanunun "Kurumun görev ve yetkileri” başlıklı 6. maddesinin 1. fıkrasında; (c) Abone, kullanıcı, tüketici ve son kullanıcıların hakları ile kişisel bilgilerin işlenmesi ve gizliliğinin korunmasına ilişkin gerekli düzenlemeleri ve denetlemeleri yapmak, (s) Elektronik haberleşme sektöründe faaliyet gösterenlerin mevzuata uymasını denetlemek ve/veya denetlettirmek, konu ile ilgili usul ve esasları belirlemek, aykırılık halinde mevzuatın öngördüğü işlemleri yapmak ve yaptırımları uygulamak, (y) Bu Kanunla verilen görevlere ilişkin yönetmelik, tebliğ ve diğer ikincil düzenlemeleri çıkarmak, Kurumun görev ve yetkileri arasında sayılmış, 12. maddesinin 2. fıkrasında; Kurumun, işletmecilere sektörün ihtiyaçları, uluslararası düzenlemeler, teknolojide meydana gelen gelişmeler gibi hususları gözeterek .... (d) Kişisel veri ve gizliliğin korunması, (e) Tüketicinin korunması gibi hususlar başta olmak üzere, mevzuat doğrultusunda yükümlülükler getirebileceği düzenlenmiş, "Şeffaflığın sağlanması ve bilgilendirme” başlıklı 49'uncu maddesinde; "(1) Kurumun, son kullanıcı ve tüketicilerin azami faydayı elde edebilmeleri ve hizmetlerin şeffaflık ilkesine uygun olarak sunulabilmesi için hizmet seçenekleri, hizmet kalitesi, tarifeler ile tarife paketlerinin yayımlanmasına ve benzer hususlarda abonelerin bilgilendirilmesine yönelik olarak işletmecilere yükümlülükler getirebileceği, (2) İşletmecilerin, özellikle hizmetler arasında seçim yapılırken ve abonelik sözleşmesi kurulurken tüketicilerin karar vermelerinde etkili olabilecek hususlar ile dürüstlük kuralı gereğince bilgilendirilmelerinin gerekli olduğu her durumda talep olmaksızın tüketicileri bilgilendireceği, (3) Kurumun bu maddenin uygulanmasına ilişkin usul ve esasları belirleyeceği kurala bağlanmıştır. 5809 sayılı Kanunun "Kişisel verilerin işlenmesi ve gizliliğin korunması" başlıklı 51. maddesinde; "(1) Kişisel verilerin işlenmesinde; hukuka ve dürüstlük kurallarına uygun olması, doğru ve gerektiğinde güncel olması, belirli, açık ve meşru amaçlar için işlenmesi, işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olması ile işlendikleri amaç için gerekli olan süre kadar muhafaza edilmesi ilkelerine uyulur. (2) Elektronik haberleşmenin ve ilgili trafik verisinin gizliliği esas olup, ilgili mevzuatın ve yargı kararlarının öngördüğü durumlar haricinde, haberleşmeye taraf olanların tamamının rızası olmaksızın haberleşmenin dinlenmesi, kaydedilmesi, saklanması, kesilmesi ve takip edilmesi yasaktır. (3) Elektronik haberleşme şebekeleri, haberleşmenin sağlanması dışında abonelerin/kullanıcıların terminal cihazlarında bilgi saklamak veya saklanan bilgilere erişim sağlamak amacıyla işletmeciler tarafından ancak ilgili abonelerin/kullanıcıların verilerin işlenmesi hakkında açık ve kapsamlı olarak bilgilendirilmeleri ve açık rızalarının alınması kaydıyla kullanılabilir. (4) İşletmeciler şebekelerinin, abonelerine/kullamcılarına ait kişisel verilerin ve sundukları hizmetlerin güvenliğini sağlamak amacıyla uygun teknik ve idari tedbirleri alır. (5) Bu Kanunun 49. maddesi kapsamında veya kamu yararının sağlanması amacıyla Kurum tarafından işletmecilere getirilen yükümlülüklerin yerine getirilebilmesi için kişisel veriler işlenebilir. (6) Kişisel verilerin yurt dışına aktarılmasına ilişkin ilgili mevzuat hükümleri saklı kalmak kaydıyla, trafik ve konum verileri ancak ilgili kişilerin açık rızaları alınmak koşuluyla yurt dışına aktarılabilir. (7) Trafik verileri; trafiğin yönetimi, arabağlantı, faturalama, usulsüzlük/dolandırıcılık tespitleri ve benzeri işlemleri gerçekleştirmek veya tüketici şikâyetleri ile arabağlantı ve faturalama anlaşmazlıkları başta olmak üzere, uzlaşmazlıkların çözümü amacıyla sadece işletmeci tarafından yetkilendirilen kişilerle sınırlı kalmak kaydıyla işlenir ve bu uzlaşmazlıkların çözüm süreci tamamlanıncaya kadar gizliliği ve bütünlüğü sağlanarak saklanır. Katma değerli elektronik haberleşme hizmetlerinin sunulması ya da elektronik haberleşme hizmetlerinin pazarlanması amacıyla ihtiyaç duyulan trafik verileri ile konum verileri anonim hâle getirilerek veya ilgili abonelerin/kullanıcıların açık rızalarının alınması ve sadece işletmeci tarafından yetkilendirilen kişilerle sınırlı kalmak kaydıyla, belirtilenfaaliyetlerin gerektirdiği ölçü ve sürede işlenebilir. (8) İşletmeciler konum verilerinin işlenmesinde abonelere/kullanıcılara bu verilerin işlenmesini reddetme imkânı sağlar. İlgili mevzuatın ve yargı kararlarının öngördüğü durumlar haricinde ancak acil yardım çağrıları ile 29/5/2009 tarihli ve 5902 sayılı Afet ve Acil Durum Yönetimi Başkanlığının Teşkilat ve Görevleri Hakkında Kanunda tanımlanan afet ve acil durum hâllerinde abonelerin/kullanıczların açık rızası aranmaksızın konum verileri ve ilgili kişilerin kimlik bilgileri işletmeci tarafından yetkilendirilen kişilerle sınırlı olmak kaydıyla işlenebilir. (9) Abone/kullanıcı şikâyetlerinin incelenmesi ve denetim faaliyetleri kapsamında trafik ve konum verileri ile kişisel veriler, belirtilen faaliyetlerle sınırlı olmak kaydıyla işlenebilir. (10) Bu Kanun kapsamında sunulan hizmetlere ilişkin olarak; a) Soruşturma, inceleme, denetleme veya uzlaşmazlığa konu olan kişisel veriler ilgili süreç tamamlanıncaya kadar, b) Kişisel verilere ve ilişkili diğer sistemlere yapılan erişimlere ilişkin işlem kayıtları iki yıl, c) Kişisel verilerin işlenmesine yönelik abonelerin/kullanıcıların rızalarını gösteren kayıtlar asgari olarak abonelik süresince saklanır. Veri kategorileri ile haberleşmenin yapıldığı tarihten itibaren bir yıldan az ve iki yıldanfazla olmamak üzere verilerin saklanma süreleri yönetmelikle belirlenir. (11) (Değişik:17/7/2019-7186/22 md.) Tahsilata ilişkin riskin yönetilmesi ve kötü niyetli kullanımların önlenmesi amacıyla abonelerin elektronik haberleşme hizmetlerine ve elektronik kimlik bilgisini haiz cihazlara yönelik tarafların kendi sistemlerinde oluşan fatura tutarı ve ödeme bilgileri ile sahtecilik, dolandırıcılık riski içeren şüpheli veya zarar doğurucu vakalara ve işlem hareketlerine ilişkin kayıtlar, işletmeciler ve Kurumun MCKS'si arasında paylaşılabilir veya işlenebilir. (12) Bu Kanun kapsamında kişisel verilerin gizliliğinin, güvenliğinin ve amacı doğrultusunda kullanılmasının temininden işletmeciler sorumludur. (13) Bu maddenin uygulanmasına ilişkin usul ve esaslar Kurum tarafından belirlenir" düzenlemelerine yer verilmiştir.

Davacı tarafından; Elektronik haberleşme sektöründe faaliyet gösteren işletmecilerin 6698 sayılı Kişisel Verilerin Korunması Kanunu kapsamında yükümlülüklerinin bulunduğu, bunun dışında 5809 sayılı Elektronik Haberleşme Kanununun 51. maddesinde kişisel verilerin işlenmesi ve gizliliğin korunmasına ilişkin temel kuralların belirlendiği, 6698 sayılı Kanunun, Avrupa Birliğinin Genel Veri Koruma Tüzüğü dikkate alınarak güncelleneceği, ancak Elektronik Haberleşme Sektöründe Kişisel Verilerin İşlenmesi ve Gizliliğin Korunmasına İlişkin Yönetmeliğin dava konusu maddelerinin 6698 ve 5809 sayılı Kanuna aykırı hükümler taşıdığı, bu nedenle, söz konusu Yönetmeliğin yayımlanmasını müteakip, dava konusu edilen maddelerin değiştirilmesi veya kaldırılması amacıyla davalı idareye başvurulmuş ise de, başvurularının zımnen reddedildiği, 6698 sayılı Kanunun 22. maddesinin (h) bendi uyarınca, davalı idarenin KVK Kurulunun görüşüne başvurmuş olmasının gerektiği, KVK Kurulundan görüş alınmamış olması halinde usulüne uygun olarak çıkarılmamış bulunan Yönetmeliğin iptalinin gerekeceği, Yönetmeliğin dava konusu hükümlerinin 5809 sayılı Kanunun verdiği yetki sınırlarını aştığı, davalı idarenin düzenleme yapma yetkisinin teknik ve uygulamayı esas alan kurallarla sınırlı olduğu, ancak dava konusu maddelerin teknik ve uygulamayı esas alan detayların belirlenmesi düzeyinde olmadığı, yeni hukuki normlar koyan hükümler içerdiği, Yönetmeliğin "Kapsam" başlıklı 2. maddesinin 1. fıkrasının 6698 sayılı Kanuna aykırı olduğu, nitekim maddede tüzel kişilerin de kapsama alındığı, oysa tüzel kişilere ait verilerin kişisel verilerden olmadığı, 6698 sayılı Kanunda sadece gerçek kişilere ait kişisel verilerin koruma altına alındığı, dolayısıyla Yönetmeliğin 2. maddesinin 1. fıkrasındaki "tüzel kişi abonelikleri dahi" ibaresinin, dayanağı mevzuata aykırı olup iptalinin gerektiği, Yönetmeliğin 7. maddesinin 1. fıkrasında yer alan "belirli risk" kavramının sınırlarının belirsiz olduğu, hangi durumlarda bu riskin oluşmuş sayılacağının yönetmelikle düzenlenmediği, sınırları belirsiz ve şartları anlaşılmayan bir yükümlülük öngörülmesinin 6698 sayılı Kanuna aykırı olup, Kanunun kapsamını genişlettiği, düzenlemede herhangi bir kamu menfaatinin de bulunmadığı, nitekim düzenlemeye göre, aboneyi etkileyen herhangi bir ihlal gerçekleşmemişken risk aşamasında olan her durumun abonelere bildirilmesinin gerekeceği, bu durumun işletmeciler ile aboneler arasındaki güven ilişkisini zedeleyeceği, Yönetmeliğin 8. maddesinin 1. fıkrasının (ç) bendi ile getirilen düzenleme ile açık rızaya ilişkin olumlu irade beyanının kapsamının sınırlandırıldığı, nitekim, gerek 6098 sayılı Borçlar Kanununda, gerekse 5809 sayılı Kanunda "açık rıza"ya ilişkin herhangi bir şekil şartının düzenlenmemiş olduğu, dolayısıyla olumlu irade beyanının "evet, onay, kabul" şeklinde üç kelime ile sınırlandırılamayacağı, aynı fıkranın (e) bendi ile getirilen külfetin taraflara sağladığı menfaatin tartışmalı olduğu, sadece trafik ve konum verilerinin üçüncü taraflara aktarımının söz konusu olduğu durumlar için, bilgilendirme yapılarak tekrar ve ayrıca açık rıza alınması için Kanunda dayanak bir düzenlemenin yer almadığı, 5809 sayılı Kanun'un 51. maddesinin 6. fıkrası uyarınca, trafik ve konum verilerinin 3. kişilerle paylaşılması bakımından tek şartın kişilerden alınan "açık rıza" olduğu, dolayısıyla yeniden açık rıza alınmasının Kanunun kapsamını aştığı, Yönetmeliğin 11. maddesinin 1. fıkrasında yer alan düzenlemenin, otomatik çağrı yönlendirme uygulamasının kapsamını belirsiz şekilde genişlettiği, ayrıca düzenlemenin bu haliyle uygulama imkanının bulunmadığı, zira, düzenleme kapsamındaki beklentinin netleştirilmesinin, tüm operatörlerinin bir araya gelmesinin ve ortak bir çözüm üretilmesinin gerektiği, öte yandan, cep telefonu gibi iletişim araçlarının kendisinde bulunan özelliklerden kaynaklanan ve telefonun başka bir numaraya yönlendirilmesini sağlayan durumların mevcut olması halinde, yönlendirmeyi engellemenin mümkün olmadığı, dolayısıyla otomatik yönlendirmeleri ücretsiz ve basit yöntemlerle durdurabilmek için, anılan maddenin, koşulların net olarak çizilmesi suretiyle yeniden düzenlenmesinin gerektiği, Yönetmeliğin 13. maddesinin 2. fıkrasında; açık rıza bulunması halinde dahi, kişisel verilerin işlenmesinin durdurulmasına dair, Kanunda yer almayan bir düzenlemenin yer aldığı, usulüne uygun olarak açık rızaya rağmen, kişisel verilerin işlenmesinin durdurulmasının, abone iradesini yok saydığı gibi, böylesi bir kısıtlamanın ikincil düzenlemelerle getirilmeyeceği, her yılın 3. çeyreğinde kullanıcıya bilgilendirme yapılması hususunun da kişisel veri ve gizlilik temelinden başka bir sonuca hizmet ettiği, abonelerin vermiş oldukları rızaların her yıl mutad olarak hatırlatılmasının, abone veya kullanıcıların zihninde soru işaretleri oluşturacağı, abonelerin verdikleri izinleri zaten diledikleri zaman geri alabildikleri, bu nedenle mutad bilgilendirme yükümlülüğü getirilmesine gerek bulunmadığı, bu durumun işletmecilere gereksiz bir iş yükü oluşturacağı, her yılın 3. çeyreğinde bildirim yapılmamasının, açık rızaların ortadan kalkması şeklinde sonuç doğuracak bir yaptırıma bağlanmasının, 3698 sayılı Kanunun geçici 1. maddesinin 3. fıkrasına aykırı olduğu, Yönetmeliğin 13. maddesinin 4. fıkrasında; açık rıza ile elde edilen kişisel verinin işlenmesinin durdurulmasının söz konusu olduğu, bunun kullanıcının mevcut iradesini hiçe saydığı gibi kanunla belirlenen sınırları aştığı, davalı idarenin abonenin rızasını geri alma yetkisinin bulunmadığı, rızanın geri alınmasının abone tarafından gerçekleştirilmesinin veya buna ilişkin kanuni bir düzenlemenin bulunmasının gerektiği, aboneliğin sona ermesi ile açık rızaların geri alınmış olmasının, sözleşme ilişkisinden kaynaklanan hakların/borçların, talep/dava edildiği uyuşmazlıklarda Şirketlerinin ispat hakkının kısıtlanmasına sebebiyet vereceği, ayrıca işletmecilerin söz konusu izinleri alabilmek için harcadıkları iş gücü ve maliyetler düşünüldüğünde, mevzuata uygun olarak alınan izinlerin abonelik sonlandığında silinmesinin, işletmelerin bu konuda yapmış oldukları yatırımların heba olması sonucunu doğuracağı, tüketicilerin de kendileri için avantajlı olan tekliflerden haberdar olma hakkından mahrum kalacakları, Yönetmeliğin geçici 1. maddesinin 2. fıkrasında da; hukuka uygun olarak alınmış rızalara istinaden gerçekleştirilen veri işleme faaliyetinin, kullanıcıların talepleri olmamasına rağmen durdurulacağının düzenlendiği, bu düzenlemenin de kanuni dayanağının bulunmadığı, kişilerin önceden vermiş oldukları rızalarını, kanunen her zaman geri çekme haklarının bulunduğu, dolayısıyla dava konusu düzenlemeye gerek bulunmadığı, belirtilen tüm bu nedenlerle, Elektronik Haberleşme Sektöründe Kişisel Verilerin İşlenmesi ve Gizliliğin Korunmasına İlişkin Yönetmeliğin dava konusu maddelerin hukuka aykırı olup, iptalinin gerektiği iddialarıyla bakılan davanın açıldığı anlaşılmıştır.

Uyuşmazlıkta, Elektronik Haberleşme Sektöründe Kişisel Verilerin İşlemesi ve Gizliliğin Korunmasına İlişkin Yönetmelik taslağının, kamuoyu görüşlerinin alınmasını teminen davalı idare internet sitesinde yayımlandığı, bilahare taslağın … tarihli ve E:… sayılı yazı ile, görüş alınmak üzere Kişisel Verileri Koruma Kurumuna gönderildiği, KVK Kurumunun … tarih ve … sayılı yazısı ile davalı idareye gönderilen görüşlerinin, davalı idarece değerlendirilmesini müteakip hazırlanan taslağın bir kez daha KVK kurumuna gönderilerek görüşlerine başvurulduğu anlaşılmıştır. Anayasanın 124. maddesinin 1. fıkrasında; "Cumhurbaşkanı, bakanlıklar ve kamu tüzelkişileri, kendi görev alanlarını ilgilendiren kanunların ve Cumhurbaşkanlığı kararnamelerinin uygulanmasını sağlamak üzere ve bunlara aykırı olmamak şartıyla, yönetmelikler çıkarabilirler." kuralına yer verilmiştir. Elektronik Haberleşme Sektöründe Kişisel Verilerin İşlenmesi ve Gizliliğin Korunmasına İlişkin Yönetmelik, 5809 sayılı Kanun'un 4,6,12,49,51 ve 60. maddelerine dayanılarak hazırlanmıştır. 5085 sayılı Kanun'un 51. maddesinde, kişisel verilerin işlenmesi ve gizliliğin korunmasına ilişkin düzenlemelere yer verilmiş, maddenin son fıkrasında, bu maddenin uygulanmasına ilişkin usul ve esasların Kurum tarafından belirleneceği kurala bağlanmıştır.

Görüldüğü üzere, Elektronik Haberleşme Sektöründe Kişisel Verilerin İşlenmesi ve Gizliliğin Korunmasına İlişkin Yönetmelik, 5809 sayılı Kanun hükümlerine dayanılarak çıkartılmış ve Kanunda kişisel verilerin işlenmesi ve gizliliğin korunmasına dair maddelerin uygulanmasına ilişkin usul ve esasların belirlenmesi davalı idareye bırakılmıştır. Elektronik Haberleşme Sektöründe Kişisel Verilerin İşlenmesi ve Gizliliğin Korunmasına İlişkin Yönetmeliğin 2. maddesinin 1. fıkrası yönünden inceleme;

Yönetmeliğin "Kapsam" başlıklı 2. maddesinin 1. fıkrasında; "Bu Yönetmelik, elektronik haberleşme sektöründe faaliyet gösteren işletmecilerin tüzel kişi abonelikleri dâhil elektronik haberleşme hizmeti sunulması kapsamında elde ettikleri veriler bakımından uyacakları usul ve esasları kapsar." düzenlemesine yer verilmiştir.

Davacı tarafından; anılan maddede tüzel kişilerin de kapsama alındığı, oysa tüzel kişilere ait verilerin kişisel verilerden olmadığı, 6698 sayılı Kanunda sadece gerçek kişilere ait kişisel verilerin koruma altına alındığı ileri sürülerek, anılan maddenin bu yönden hukuka aykırı olduğu ileri sürülmüştür. 5809 sayılı Kanun'un "Tanımlar ve Kısaltmalar" başlıklı 3. maddesinin 1. fıkrasında; "Abone"; Bir işletmeci ile elektronik haberleşme hizmetinin sunumuna yönelik olarak yapılan bir sözleşmeye taraf olan gerçek ya da tüzel kişi olarak; "Kullanıcı" da; Aboneliği olup olmamasına bakılmaksızın elektronik haberleşme hizmetlerinden yararlanan gerçek veya tüzel kişi olarak tanımlanmış olup, tüzel kişilere de abone ve kullanıcı tanımı içerisinde yer verilmiştir. Ayrıca, elektronik haberleşme sektöründe kişisel verilerin işlenmesine ve gizliliğin korunmasına ilişkin kuralları düzenleyen 2002/58/AT sayılı e-Gizlilik Direktifinin de tüzel kişileri kapsadığı dikkate alındığında, Yönetmeliğin kapsam hükmünde dayanağı mevzuata aykırılık görülmemiştir.

Yönetmeliğin 7. maddesinin 1. fıkrası yönünden inceleme; Yönetmeliğin "Riskin ve kişisel veri ihlalinin bildirilmesi" başlıklı 7. maddesinin 1. fıkrasında; "İşletmeciler, şebekelerinin ve sundukları hizmetlerin güvenliğini tehdit eden belirli bir risk olması durumunda; a) Bu risk hakkında, b) Bu riskin işletmeci tarafından alınan tedbirlerin dışında kalması hâlinde, söz konusu riskin kapsamı ve giderilme yöntemleri hakkında, ilgili aboneleri/kullanıcıları en kısa sürede bilgilendirir." düzenlemesine yer verilmiştir.

Davacı tarafından, maddede sözü edilen riskin hangi durumlarda oluşmuş sayılacağının yönetmelikte düzenlenmediği, düzenlemeye göre aboneyi etkileyen herhangi bir ihlal gerçekleşmemişken risk aşamasında olan her durumun abonelere bildirilmesinin gerekeceği, bu durumun işletmeciler ile aboneler arasındaki güven ilişkisini zedeleyeceği, düzenlemenin 6698 sayılı Kanun'a aykırı olduğu ileri sürülmektedir. 5809 sayılı Kanun'un 51. maddesinin 4. fıkrasında; "İşletmeciler şebekelerinin, abonelerine/kullanıcılarına ait kişisel verilerin ve sundukları hizmetlerin güvenliğini sağlamak amacıyla uygun teknik ve idari tedbirleri alır.", 12. fıkrasında; " Bu Kanun kapsamında kişisel verilerin gizliliğinin, güvenliğinin ve amacı doğrultusunda kullanılmasının temininden işletmeciler sorumludur.", düzenlemelerine yer verilmiştir. Buna göre, işletmeciler, elektronik haberleşme hizmetleri ve bu hizmetlerin sunumu sırasında elde ettikleri verilerin güvenliğini sağlamakla yükümlü tutulmuş olup, dava konusu yönetmelik maddesi ile de, 51. maddenin son fıkrasının verdiği yetkiye istinaden, anılan kanuni düzenlemelerin uygulanmasına yönelik kural konulmuştur. Anılan kuralın, 5809 sayılı Kanunun "Şeffaflığın sağlanması ve bilgilendirme" başlıklı 49. maddesi ile de örtüştüğü görülmektedir.

İşletmecilerin, sunulan hizmetin güvenliğini tehdit eden belirli bir risk olması durumunda aboneleri/kullanıcıları bilgilendireceğine yönelik düzenlemede, "belirli bir risk" kavramının hangi durumları ifade ettiği somut ve açık olarak belirlenmemiş ise de; idarelerin önceden saptanması her zaman mümkün olmayan durumlarda, gelişen koşullara ayak uydurmak amacıyla, normlar hiyerarşisine aykırı olmamak şartıyla, gerekli önlemleri almak veya ortaya çıkan ihtiyaçları karşılayabilmek adına gerekli düzenlemeler yapabilecekleri açıktır. Uyuşmazlıkta da, veri işleme faaliyetlerinde gerçekleşen ihlalin yanısıra şebekelere veya sunulan hizmetlere yönelik belirli bir risk bulunması halinde getirilen "tüketicilerin bilgilendirilmesi" yükümlülüğünün, 2002/58/AT sayılı e-Gizlilik Direktifi ve AB düzenlemeleri ile uyumlu olduğu görülmüş olup, kişisel verilerin risk altında olması durumunun, verilerin sahibi olan tüketiciler tarafından bilinmesini amaçlayan düzenlemenin kamu yararı taşıdığı sonucuna varıldığından, anılan düzenlemede hukuka aykırılık görülmemiştir. Yönetmeliğin 8. maddesinin 1. fıkrasının (ç) ve (e) bendleri yönünden inceleme;

Elektronik Haberleşme Sektöründe Kişisel Verilerin İşlenmesi ve Gizliliğin Korunmasına İlişkin Yönetmeliğin "Açık rıza alma şartları" başlıklı, 8. maddesinin 1. fıkrasında; "İşletmeciler, aboneden/kullanıcıdan açık rıza alınmasını gerektiren durumlarda aşağıdaki şartları yerine getirir: (ç) İşletmecinin gerekli bilgilendirmeyi yapması sonrasında abonenin/kullanıcının “evet/onay/kabul” şeklindeki irade beyanı yazılı veya elektronik ortamda alınır. Söz konusu irade beyanı rıza alınan duruma özgü olmalıdır. Bu irade beyanı, bir sözleşmenin veya hizmetin kabulü ya da pazarlama amaçlı haberleşmelere onay verilmesi ve benzeri hukuki işlemlere yönelik irade beyanları ile birleştirilemez.", (e) Trafik ve konum verilerinin üçüncü taraflara aktarımının söz konusu olduğu durumlar için;

1.Aktarılacak verinin kapsamı, 2) Aktarılacak tarafın adı ve açık adresi, 3) Aktarma amacı ve süresi, 4) Üçüncü tarafın yurt dışında olması halinde verinin aktarılacağı ülkenin adı, şeklindeki bilgiler verilerek ayrıca açık rıza alınır. Bu bilgilerde değişiklik olması halinde tekrar açık rıza alınır." düzenlemesine yer verilmiştir.

Davacı tarafından; Yönetmeliğin 8. maddesinin 1. fıkrasının (ç) bendinde yer alan, irade beyanının “evet/onay/kabul” şeklinde olacağına ilişkin şekil şartının hukuka aykırı olduğu, nitekim açık rızaya ilişkin olumlu irade beyanının üç kelime ile sınırlandırılamayacağı, (e) bendinde sadece trafik ve konum verilerinin üçüncü kişilere aktarımının söz konusu olduğu durumlarda bilgilendirme yapılarak tekraren açık rıza alınmasının kanuni dayanağının bulunmadığı, 5809 sayılı Kanun'un 51. maddesinin 6. fıkrası uyarınca alınan "açık rıza"nın yeterli olduğu ileri sürülmektedir.

Yönetmeliğin 8. maddesinin 1. fıkrasının (ç) bendinde, işletmecilerin, abonelerin “evet/onay/kabul” şeklindeki irade beyanlarını yazılı veya elektronik ortamda alması ve söz konusu irade beyanının rıza alınan duruma özgü olması gerektiği düzenlenirken açık rızaya ilişkin irade beyanları ile ilgili (haberleşme sektöründe) suistimale açık uygulamaların giderilmesinin, tüketici hak ve menfaatlerinin gözetilmesinin, abonelerin irade beyanlarının doğru ve gerçek olarak alınmasının amaçlandığı, 5809 sayılı Kanun'un 12. maddesinin 2. fıkrasında yer alan; "Kurumun uluslararası düzenlemeler, teknolojide meydana gelen gelişmeler gibi hususları gözeterek, kişisel veri ve gizliliğin korunması, tüketicinin korunması gibi konularda işletmecilere yükümlülük getirebileceği"ne ilişkin düzenleme de dikkate alındığında, dava konusu düzenlemenin şekil şartı getirerek irade beyanını kısıtlamayı değil, irade beyanlarının doğru ve gerçek olarak alınmasını amaçladığı anlaşılmaktadır. Yönetmeliğin 8. maddesinin 1. fıkrasının (e) bendinde, trafik ve konum verilerinin üçüncü tarafa aktarımının söz konusu olduğu durumlarda gerekli bilgilerin verilerek ayrıca açık rıza alınacağı, söz konusu bilgilerde değişiklik olması halinde tekrar açık rıza alınacağı kurala bağlanmıştır. 5809 sayılı Kanun'un 49. maddesinin 1. fıkrasında, Kurumun tüketicilerin azami faydayı elde edebilmeleri ve hizmetlerin şeffaflık ilkesine uygun olarak sunulabilmesi için, abonelerin bilgilendirilmesine yönelik olarak işletmecilere yükümlülükler getirebileceği düzenlenmiş olup, trafik ve konum verilerinin hassasiyeti dikkate alındığında, verilerin üçüncü taraflara veya yurtdışına aktarımı öncesinde abonelerin bilgilendirilmesinin ve açık rızalarının alınmasının, anılan Kanun maddesinde belirtilen şeffaflık ilkesine ve bilgilendirme yükümlülüğüne uygun olduğu açıktır.

Öte yandan, kişilerin, trafik ve konum verilerinin üçüncü kişilere aktarılması hususundaki iradelerini belirlerken, doğru ve sağlıklı bir değerlendirme yapabilmeleri için, konuyla ilgili olarak açık ve yeterli derecede bilgilendirilmelerinde, bu bilgilerde değişiklik olması halinde de tekrar açık rızalarının alınmasında, tüketici hak ve menfaatlerine aykırı bir durum görülmemiştir. Nitekim abone veya kullanıcılarda, bilgilendirme sonrasında oluşan değişiklikler nedeniyle, vermiş oldukları açık rızalarını geri alma iradesinin oluşabilmesi mümkün olup, bu halde aboneden tekrar rıza alınması yerinde ve gereklidir. Bu itibarla, Yönetmeliğin 8. maddesinin 1. fıkrasının (ç) ve (e) bendlerinde 5809 sayılı Kanunun 49. ve 51. maddelerine aykırılık görülmemiştir. Yönetmeliğin 11. maddesinin 1. fıkrası yönünden inceleme;

Elektronik Haberleşme Sektöründe Kişisel Verilerin İşlenmesi ve Gizliliğin Korunmasına İlişkin Yönetmeliğin "Otomatik Çağrı Yönlendirme" başlıklı 11. maddesinin 1. fıkrasında; "İşletmeci, aboneye/kullanıcıya, kendisine üçüncü kişilerden gelen otomatik yönlendirmeleri ücretsiz ve basit yöntemlerle durdurma imkânı tanır." düzenlemesine yer verilmiştir.

Davacı tarafından; anılan maddenin bu haliyle uygulama imkanının bulunmadığı, zira, düzenleme kapsamındaki beklentinin netleştirilmesinin ve tüm operatörlerini bir araya gelerek ortak çözüm üretmelerinin gerekeceği, ayrıca telefonların kendisinde, başka bir numaraya yönlendirme özelliğinin bulunması durumunda, yönlendirmeyi engellemenin mümkün olmayacağı ileri sürülerek anılan düzenlemenin iptali istenilmektedir.

Dosyanın incelenmesinden, Telekominikasyon sektörü için veri koruma kurallarını güncelleyen 2002/58/AT sayılı AB Direktifinde yer alan; arayan veya aranan numaraların gizlenmesi gibi gizlilik hakkında yönelik imkanlar sunulurken, bu imkanların kullanımı sebebiyle doğabilecek suistimaller karşısında da, aranan veya çağrı yönlendirilen abonelerin haklarının korunması için yönlendirilmiş çağrılardan gelebilecek rahatsız edici aramaların durdurulmasına yönelik düzenlemelerle uyumlu olarak, dava konusu düzenleme ile, 5809 sayılı Kanun'un 6, 12 ve 51. maddelerinde yer alan hükümler çerçevesinde, abonelerin/kullanıcıların menfaati doğrultusunda, istenmeyen otomatik çağrı yönlendirmelerinin durdurulmasının sağlanmasına yönelik, işletmecilere yükümlülük getirildiği anlaşılmış olup, anılan düzenlemelerde hukuka ve mevzuata aykırılık görülmemiştir. Yönetmeliğin 13. maddesinin 2 ve 4. fıkralarına yönelik inceleme;

Yönetmeliğin "Abonenin/kullanıcının diğer hakları" başlıklı 13. maddesinin 2. fıkrasında; "İşletmeciler tarafından her yılın üçüncü çeyreği içinde, mobil numara bilgisi bulunan abonelere/kullanıcılara asgari kısa mesajla, diğerlerine e-posta veya arama yöntemlerinden biri ile olmak üzere, daha önce alınan açık rızaları kapsamında verilerinin işlendiğine dair bilgilendirme yapılır. Aksi durumda daha önce verilen açık rızalar kapsamındaki veri işleme faaliyeti bilgilendirme yapılıncaya kadar durdurulur.", 4. fıkrasında; "Aboneliğin sonlanması halinde, sona erme tarihi itibarıyla, abonenin aksi talebi olmaması halinde daha önce verilen tüm açık rızalar geri alınmış sayılır." düzenlemelerine yer verilmiştir.

Davacı tarafından, Yönetmelik maddesinde, açık rızanın bulunması halinde dahi, kişisel verilerin işlenmesinin durdurulmasına dair, Kanunda yer almayan bir düzenlemeye yer verildiği, böylesi bir düzenlemenin ikincil düzenlemelerle getirilemeyeceği, abonelerin verdikleri izinleri diledikleri zaman geri alabilmelerine karşın, her yılın üçüncü çeyreğinde mutad bilgilendirme yükümlülüğü getirilmesinin işletmecilere gereksiz bir iş yükü oluşturacağı, aboneliğin sonlanması halinde, açık rızaların geri alınmış sayılmasının, sözleşme ilişkisinden kaynaklanan uyuşmazlıklarda şirketlerinin ispat hakkının kısıtlanmasına sebebiyet vereceği ileri sürülmüştür. 5809 sayılı Kanun'un 49. maddesi uyarınca, işletmecilerin, hizmetlerin şeffaflık ilkesine uygun olarak sunulabilmesini teminen, bilgilendirmenin gerekli olduğu her durumda talep olmaksızın tüketicileri bilgilendirme yükümlülüğünün bulunduğu, abonelerin işlenecek verilerine yönelik olarak açık rıza verdikten sonra, senede bir kez, verilerin işlendiği, hususunda bilgilendirilmelerinin tüketici hak ve menfaatlerinin korunması bakımından gerekli olduğu gibi, 5809 sayılı Kanunun 49. maddesine de uygun olduğu, söz konusu bilgilendirmeler yapılıncaya kadar, veri işleme faaliyetlerinin durdurulmasının da, bilgilendirme mekanizmasının düzenli ve sağlıklı bir şekilde işleyebilmesi için gerekli olduğu, öte yandan kişisel veriler toplandıktan sonra, ileride ortaya çıkabilecek yeni işleme amaçları dahilinde veri işlemesi yapılabilmesi veya işleme iznini geri alma imkanlarının hatırlatılması için, işletmecilere bilgilendirme yükümlülüğü getirilmesinde de hukuka ve dayanağı mevzuata aykırılık bulunmadığı sonucuna varılmıştır.

Yönetmeliğin 13. maddesinin 4. fıkrasında; aboneliğin sona ermesi halinde, abonenin, kişisel verilerinin işlenmesinin devamına ilişkin yeni irade beyanının bulunmaması durumunda, abonelik ilişkisi dolayısıyla verilen açık rızaların geri alınmış sayılacağı hususunun düzenlendiği, 5809 sayılı Kanunun 51. maddesinin 7. fıkrasında; ".... İhtiyaç duyulan trafik verileri ile konum verilerinin, anonim hale getirilerek veya abonelerin açık rızalarının alınması ve sadece işletmeci tarafından yetkilendirilen kişilerle sınırlı kalmak kaydıyla, belirtilen faaliyetlerin gerektiği ölçü ve sürede işlenebileceği, 10. fıkrasının (c) bendinde; kişisel verilerin işlenmesine yönelik abonelerin rızalarını gösteren kayıtların asgari olarak abonelik süresince saklanacağı düzenlemelerine yer verilmiştir. Buna göre, verilerin işlenmesine ilişkin irade beyanlarını gösteren kayıtların, abonelik süresince saklanabileceği, abonelik ilişkisinin sonlanması üzerine, işletmeci ile herhangi bir hukuki bağının kalmadığını düşünen tüketicilerin, işletmecilerin kişisel verilerini işleme faaliyetine son vereceği beklentisi taşımasının doğal olduğu, nitekim, aboneliğin sona ermesine rağmen, verilerin işlenmeye devam edilmesinin tüketici mağduriyetine sebep olabileceği açıktır. Bu itibarla anılan düzenlemenin kişisel verilerin işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olması ilkesine uygun olduğu, düzenlemede hukuka ve tüketici haklarına aykırılık bulunmadığı sonucuna ulaşılmıştır. Yönetmeliğin Geçici 1. maddesinin 2. fıkrası yönünden inceleme:

Yönetmeliğin Geçici 1. maddesinin 2. fıkrasında; "Bu Yönetmeliğin yürürlüğe girdiği tarihten önce rızaları alınarak verileri işlenen tarafların abonelikleri sona ermesine rağmen açık rızaları olmaksızın verilerin işlenmeye devam etmesi durumunda bu işlem, ilgili mevzuatta yer alan yükümlülükler saklı kalmak kaydıyla, bu Yönetmeliğin yürürlüğe girdiği tarihi takip eden bir ay içinde durdurulur." düzenlemesine yer verilmiştir.

Davacı tarafından; hukuka uygun olarak alınmış rızalara istinaden gerçekleştirilen veri işleme faaliyetinin, kullanıcıların talepleri olmamasına rağmen durdurulmasının kanuni dayanağının bulunmadığı, kişilerin önceden vermiş oldukları rızalarını her zaman geri alabilecekleri ileri sürülmüştür.

Yönetmeliğin 13. maddesinin 4. fıkrasında; aboneliğin sonlanması halinde, sona erme tarihi itibarıyla, abonenin aksi talebi olmaması halinde daha önce verilen tüm açık rızaların geri alınmış sayılacağı düzenlenmiş, dava konusu geçici 1. maddenin 2. fıkrası ile de, Yönetmeliğin yürürlüğe girdiği tarihten önce rıza alınarak işlenmiş verilerin, aboneliğin sona ermesine rağmen, açık rıza olmaksızın işlenmeye devam etmemesi adına düzenleme yapılmıştır. Anılan düzenlemenin 5809 sayılı Kanun'un 51. maddesinde yer alan, kişisel verilerin işlenmesinin, işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olması ile işlendikleri amaç için gerekli olan süre kadar muhafaza edilmesi ilkelerine uygun olduğu, düzenlemede hukuka ve mevzuata aykırılık bulunmadığı anlaşılmıştır. Açıklanan nedenlerle, Elektronik Haberleşme Sektöründe Kişisel Verilerin İşlenmesi ve Gizliliğin Korunmasına İlişkin Yönetmeliğin dava konusu maddelerinde, hukuka ve mevzuata aykırılık görülmediğinden, davanın reddine karar verilmesi gerektiği düşünülmektedir.

TÜRK MİLLETİ ADINA

Karar veren Danıştay Onüçüncü Dairesi'nce duruşma için taraflara önceden bildirilen 23/05/2023 tarihinde, davacı vekili Av. …'ye ve davalı idare vekili Av. …'ın geldikleri, Danıştay Savcısının hazır olduğu görülmekle, açık duruşmaya başlandı. Taraflara usulüne uygun olarak söz verilerek dinlendikten ve Danıştay Savcısının düşüncesi alındıktan sonra taraflara son kez söz verilip, duruşma tamamlandı. Tetkik Hâkiminin açıklamaları dinlendikten ve dosyadaki belgeler incelendikten sonra gereği görüşüldü:

İNCELEME VE GEREKÇE

MADDİ OLAY VE HUKUKİ SÜREÇ : Elektronik Haberleşme Sektöründe Kişisel Verilerin İşlenmesi ve Gizliliğin Korunmasına İlişkin Yönetmelik (Yönetmelik) 04/12/2020 tarih ve 31324 sayılı Resmî Gazete'de yayımlanarak yürürlüğe girmiştir.

Davacı tarafından, söz konusu Yönetmeliğin 2. maddesinin birinci fıkrasının, 7. maddesinin birinci fıkrasının, 8. maddesinin birinci fıkrasının (ç) ve (e) bentlerinin, 11. maddesinin birinci fıkrasının, 13. maddesinin ikinci ve dördüncü fıkralarının, Geçici 1. maddesinin ikinci fıkrasının iptali istemiyle bakılan dava açılmıştır. İLGİLİ MEVZUAT:

Anayasa'nın "Özel hayatın gizliliği” başlıklı 20. maddesinin 1. fıkrasında, "Herkes, özel hayatına ve aile hayatına saygı gösterilmesini isteme hakkına sahiptir. Özel hayatın ve aile hayatının gizliliğine dokunulamaz";

3.fıkrasında, "Herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir. Bu hak; kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilme, bu verilere erişme, bunların düzeltilmesini veya silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenmeyi de kapsar. Kişisel veriler, ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebilir. Kişisel verilerin korunmasına ilişkin esas ve usuller kanunla düzenlenir"; "Tüketicilerin korunması” başlıklı 172. maddesinde, "Devlet, tüketicileri koruyucu ve aydınlatıcı tedbirler alır, tüketicilerin kendilerini koruyucu girişimlerini teşvik eder. " kuralları yer almaktadır. 5809 sayılı Elektronik Haberleşme Kanunu'nun "İlkeler” başlıklı 4. maddesinin 1. fıkrasının (b) bendinde, "Tüketici hak ve menfaatlerinin gözetilmesi"; (l) bendinde, "Bilgi güvenliği ve haberleşme gizliliğinin gözetilmesi" elektronik haberleşme hizmetinin sunulmasında ve bu hususta yapılacak düzenlemelerde göz önüne alınacak ilkeler arasında sayılmış; "Kurumun görev ve yetkileri” başlıklı 6. maddesinin 1. fıkrasının (c) bendinde, "Abone, kullanıcı, tüketici ve son kullanıcıların hakları ile kişisel bilgilerin işlenmesi ve gizliliğinin korunmasına ilişkin gerekli düzenlemeleri ve denetlemeleri yapmak"; (s) bendinde, "Elektronik haberleşme sektöründe faaliyet gösterenlerin mevzuata uymasını denetlemek ve/veya denetlettirmek, konu ile ilgili usul ve esasları belirlemek, aykırılık halinde mevzuatın öngördüğü işlemleri yapmak ve yaptırımları uygulamak"; (y) bendinde, "Bu Kanunla verilen görevlere ilişkin yönetmelik, tebliğ ve diğer ikincil düzenlemeleri çıkarmak" Kurumun görev ve yetkileri arasında sayılmış; "İşletmecinin hak ve yükümlülükleri" başlıklı 12. maddesinin 2. fıkrasında, Kurumun, işletmecilere sektörün ihtiyaçları, uluslararası düzenlemeler, teknolojide meydana gelen gelişmeler gibi hususları gözeterek "Kişisel veri ve gizliliğin korunması", "Tüketicinin korunması" gibi hususlar başta olmak üzere, mevzuat doğrultusunda yükümlülükler getirebileceği kurala bağlanmıştır. 5809 sayılı Kanun'un "Şeffaflığın sağlanması ve bilgilendirme” başlıklı 49. maddesinin 1. fıkrasında, Kurumun, son kullanıcı ve tüketicilerin azami faydayı elde edebilmeleri ve hizmetlerin şeffaflık ilkesine uygun olarak sunulabilmesi için hizmet seçenekleri, hizmet kalitesi, tarifeler ile tarife paketlerinin yayımlanmasına ve benzer hususlarda abonelerin bilgilendirilmesine yönelik olarak işletmecilere yükümlülükler getirebileceği;

2.fıkrasında, işletmecilerin, özellikle hizmetler arasında seçim yapılırken ve abonelik sözleşmesi kurulurken tüketicilerin karar vermelerinde etkili olabilecek hususlar ile dürüstlük kuralı gereğince bilgilendirilmelerinin gerekli olduğu her durumda talep olmaksızın tüketicileri bilgilendireceği kurala bağlanmıştır.

Aynı Kanun'un "Kişisel verilerin işlenmesi ve gizliliğin korunması" başlıklı 51. maddesinde, "(1) Kişisel verilerin işlenmesinde; hukuka ve dürüstlük kurallarına uygun olması, doğru ve gerektiğinde güncel olması, belirli, açık ve meşru amaçlar için işlenmesi, işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olması ile işlendikleri amaç için gerekli olan süre kadar muhafaza edilmesi ilkelerine uyulur. (2) Elektronik haberleşmenin ve ilgili trafik verisinin gizliliği esas olup, ilgili mevzuatın ve yargı kararlarının öngördüğü durumlar haricinde, haberleşmeye taraf olanların tamamının rızası olmaksızın haberleşmenin dinlenmesi, kaydedilmesi, saklanması, kesilmesi ve takip edilmesi yasaktır. (3) Elektronik haberleşme şebekeleri, haberleşmenin sağlanması dışında abonelerin/kullanıcıların terminal cihazlarında bilgi saklamak veya saklanan bilgilere erişim sağlamak amacıyla işletmeciler tarafından ancak ilgili abonelerin/kullanıcıların verilerin işlenmesi hakkında açık ve kapsamlı olarak bilgilendirilmeleri ve açık rızalarının alınması kaydıyla kullanılabilir. (4) İşletmeciler şebekelerinin, abonelerine/kullamcılarına ait kişisel verilerin ve sundukları hizmetlerin güvenliğini sağlamak amacıyla uygun teknik ve idari tedbirleri alır. (5) Bu Kanunun 49. maddesi kapsamında veya kamu yararının sağlanması amacıyla Kurum tarafından işletmecilere getirilen yükümlülüklerin yerine getirilebilmesi için kişisel veriler işlenebilir. (6) Kişisel verilerin yurt dışına aktarılmasına ilişkin ilgili mevzuat hükümleri saklı kalmak kaydıyla, trafik ve konum verileri ancak ilgili kişilerin açık rızaları alınmak koşuluyla yurt dışına aktarılabilir. (7) Trafik verileri; trafiğin yönetimi, arabağlantı, faturalama, usulsüzlük/dolandırıcılık tespitleri ve benzeri işlemleri gerçekleştirmek veya tüketici şikâyetleri ile arabağlantı ve faturalama anlaşmazlıkları başta olmak üzere, uzlaşmazlıkların çözümü amacıyla sadece işletmeci tarafından yetkilendirilen kişilerle sınırlı kalmak kaydıyla işlenir ve bu uzlaşmazlıkların çözüm süreci tamamlanıncaya kadar gizliliği ve bütünlüğü sağlanarak saklanır. Katma değerli elektronik haberleşme hizmetlerinin sunulması ya da elektronik haberleşme hizmetlerinin pazarlanması amacıyla ihtiyaç duyulan trafik verileri ile konum verileri anonim hâle getirilerek veya ilgili abonelerin/kullanıcıların açık rızalarının alınması ve sadece işletmeci tarafından yetkilendirilen kişilerle sınırlı kalmak kaydıyla, belirtilenfaaliyetlerin gerektirdiği ölçü ve sürede işlenebilir. (8) İşletmeciler konum verilerinin işlenmesinde abonelere/kullanıcılara bu verilerin işlenmesini reddetme imkânı sağlar. İlgili mevzuatın ve yargı kararlarının öngördüğü durumlar haricinde ancak acil yardım çağrıları ile 29/05/2009 tarih ve 5902 sayılı Afet ve Acil Durum Yönetimi Başkanlığının Teşkilat ve Görevleri Hakkında Kanunda tanımlanan afet ve acil durum hâllerinde abonelerin/kullanıczların açık rızası aranmaksızın konum verileri ve ilgili kişilerin kimlik bilgileri işletmeci tarafından yetkilendirilen kişilerle sınırlı olmak kaydıyla işlenebilir. (9) Abone/kullanıcı şikâyetlerinin incelenmesi ve denetim faaliyetleri kapsamında trafik ve konum verileri ile kişisel veriler, belirtilen faaliyetlerle sınırlı olmak kaydıyla işlenebilir. (10) Bu Kanun kapsamında sunulan hizmetlere ilişkin olarak;

a)Soruşturma, inceleme, denetleme veya uzlaşmazlığa konu olan kişisel veriler ilgili süreç tamamlanıncaya kadar,

b)Kişisel verilere ve ilişkili diğer sistemlere yapılan erişimlere ilişkin işlem kayıtları iki yıl,

c)Kişisel verilerin işlenmesine yönelik abonelerin/kullanıcıların rızalarını gösteren kayıtlar asgari olarak abonelik süresince saklanır. Veri kategorileri ile haberleşmenin yapıldığı tarihten itibaren bir yıldan az ve iki yıldanfazla olmamak üzere verilerin saklanma süreleri yönetmelikle belirlenir. (11) Tahsilata ilişkin riskin yönetilmesi ve kötü niyetli kullanımların önlenmesi amacıyla abonelerin elektronik haberleşme hizmetlerine ve elektronik kimlik bilgisini haiz cihazlara yönelik tarafların kendi sistemlerinde oluşan fatura tutarı ve ödeme bilgileri ile sahtecilik, dolandırıcılık riski içeren şüpheli veya zarar doğurucu vakalara ve işlem hareketlerine ilişkin kayıtlar, işletmeciler ve Kurumun MCKS'si arasında paylaşılabilir veya işlenebilir. (12) Bu Kanun kapsamında kişisel verilerin gizliliğinin, güvenliğinin ve amacı doğrultusunda kullanılmasının temininden işletmeciler sorumludur. (13) Bu maddenin uygulanmasına ilişkin usul ve esaslar Kurum tarafından belirlenir" düzenlemelerine yer verilmiştir.

HUKUKİ DEĞERLENDİRME:

Sözlük anlamı ile "düzenli hâle koymak, düzen vermek, tanzim ve tertip etmek" olarak tanımlanan "düzenleme", kamu hukukunda kural koyma ile eş anlamlıdır. Kural ise; sürekli, soyut, nesnel, genel (kişilik dışı) durumları belirleyen ve gösteren norm olarak tanımlanmaktadır. (ÖZAY İl Han, Günışığında Yönetim, 2017, İstanbul, s. 426).

Anayasa'nın 2. maddesinde, Türkiye Cumhuriyeti'nin bir hukuk devleti olduğu belirtilmiş olup, Anayasa Mahkemesi kararlarında hukuk devleti, insan haklarına dayanan, bu hak ve özgürlükleri koruyup güçlendiren, eylem ve işlemleri hukuka uygun olan, her alanda adaletli bir hukuk düzeni kurup bunu geliştirerek sürdüren, hukuk güvenliğini gerçekleştiren, Anayasaya aykırı durum ve tutumlardan kaçınan, hukuku tüm devlet organlarına egemen kılan, Anayasa ve kanunlarla kendini bağlı sayan, eylem ve işlemleri yargı denetimine açık olan devlet olarak tanımlanmıştır.

Bir hiyerarşik kurallar sistemi olan hukuk düzeninde alt düzeydeki kuralların, yürürlüklerini üst düzeydeki kurallardan aldığı kuşkusuzdur. Kurallar hiyerarşisinin en üstünde genel hukuk ilkeleri ve Anayasa bulunmakta ve daha sonra gelen kanunlar yürürlüğünü Anayasa'dan, yönetmelikler ise kanun ve Cumhurbaşkanlığı kararnamelerinden almaktadır. Dolayısıyla bir kuralın, kendisinden daha üst konumda bulunan bir kurala aykırı veya bunu değiştirici nitelikte hükümler getirmesine imkân bulunmamaktadır. Anayasa'nın 124. maddesinde, Cumhurbaşkanı, bakanlıklar ve kamu tüzel kişilerinin kendi görev alanlarını ilgilendiren kanunların ve Cumhurbaşkanlığı kararnamelerinin uygulanmasını sağlamak üzere ve bunlara aykırı olmamak şartıyla yönetmelikler çıkarabilecekleri kurala bağlanmıştır. Kanun koyucu, düzenleyeceği konularda genel prensipleri belirler ve bunun uygulamasını yürütmeye, başka bir ifadeyle idareye bırakır. Bu, aslî düzenleme yetkisinin yasama organına ait olmasının doğal bir sonucudur. İdarenin düzenleyici işlem tesis etme yetkisinin "Yasama yetkisinin devredilmezliği" ilkesinin bir sonucu olarak ikincil nitelikte bir kural koyma yetkisi olduğu göz önüne alındığında, söz konusu yetkinin kanunların çizdiği çerçeve içinde kalması ve kanunlara uygun olarak kullanılması zorunludur. Bu itibarla, dava konusu Yönetmeliğin iptali istenilen maddelerinin hukuka uygunluk denetiminin belirtilen açıklamalar çerçevesinde yapılması gerekmektedir. 5809 sayılı Kanun'un “Kişisel verilerin İşlenmesi ve gizliliğin korunması” başlıklı 51. maddesinin Anayasa Mahkemesi'nin 09/04/2014 tarih ve E:2013/22, K:2014/74 sayılı kararıyla, "Yasama yetkisinin devredilemezliği ilkesi gereğince, Anayasa'nın açıkça kanunla düzenlenmesini öngördüğü konularda yürütme organına doğrudan ve ilk elden düzenleyici işlem yapma yetkisi verilemez. Elektronik haberleşme sektörüyle ilgili kişisel verilerin işlenmesi ve gizliliğinin korunmasına yönelik usul ve esasları belirleme yetkisini Bilgi Teknolojileri ve İletişim Kurumu'na veren itiraz konusu kural, Anayasa'nın 20. maddesinde öngörülen kişisel verilerin korunmasına ilişkin usul ve esasların ancak kanunla düzenlenebileceğine ilişkin güvenceye aykırıdır." şeklindeki gerekçeyle iptal edilmesi üzerine; 6639 sayılı Bazı Kanun ve Kanun Hükmünde Kararnamelerde Değişiklik Yapılması Hakkında Kanun'un 32. maddesi ile 5809 sayılı Kanun'un 51. maddesi yeniden düzenlenmiştir. Söz konusu maddenin bazı maddelerinin iptali istemiyle tekrar Anayasa Mahkemesi'ne başvurulması üzerine, Anayasa Mahkemesi'nin 02/11/2016 tarih ve E:2015/61, K:2016/172 sayılı kararıyla, "Anayasa’nın 20. maddesinin üçüncü fıkrasının son cümlesinde, kişisel verilerin korunmasına ilişkin esas ve usullerin kanunla düzenleneceği belirtilerek kişisel verilerin korunması hakkı anayasal güvenceye bağlanmış ve bu şekilde kamu makamlarının keyfi müdahalelerine karşı koruma altına alınmıştır. Buna göre, elektronik haberleşme sektörüyle ilgili kişisel verilerin işlenmesi ve korunmasına yönelik temel kuralların kanunla düzenlenmesi zorunludur. Nitekim Anayasa Mahkemesi de yukarıda tarih ve sayısı belirtilen kararında, elektronik haberleşme sektörüyle ilgili kişisel verilerin işlenmesi ve gizliliğinin korunmasına yönelik usul ve esasların belirlenmesi konusunda BTK’ya doğrudan ve ilk elden düzenleyici işlem yapma yetkisi verilmesinin Anayasa’nın 20. maddesine aykırı olduğuna karar vermiştir. Bu bağlamda, Kanun’un yeniden düzenlenen 51. maddesinde, elektronik haberleşme sektöründe, kişisel verilerin işlenmesinde uyulması gereken ilkeler sayıldıktan sonra, kişisel verilerin işlenmesi ve gizliliğin korunmasına ilişkin kurallar herhangi bir duraksamaya yer vermeyecek şekilde açık, net, anlaşılır ve uygulanabilir şekilde düzenlenerek konuya ilişkin temel kurallar belirlenmiştir. Maddede belirlenen usul ve esaslar çerçevesinde kişisel verilerin işlenmesi ve korunmasına ilişkin teknik ve uygulamayı esas alan detayların belirlenmesi konusunda BTK’ya yetki verilmesini öngören kuralda belirsizlik bulunmadığı gibi yasama yetkisinin devri de söz konusu değildir. Açıklanan nedenlerle kural, Anayasa’nın 2. ve 7. maddelerine aykırı değildir." gerekçesiyle iptal talebinin reddine karar verilmiştir. 5809 sayılı Kanun'un, Anayasa Mahkemesi'nin anılan kararı uyarınca yeniden düzenlenen 51. maddesinde, elektronik haberleşme sektöründe, kişisel verilerin işlenmesi ve gizliliğin korunmasına ilişkin kurallar herhangi bir duraksamaya yer vermeyecek açıklıkta belirlenmiş olup, maddenin son fıkrasında, uygulamaya ilişkin usul ve esasların Kurum tarafından belirleneceği kurala bağlanmıştır.

Söz konusu yetkiye dayanılarak davalı idare tarafından, 5809 sayılı Kanun'un 51. maddesinin uygulanmasına ilişkin hususların netleştirilmesi, uygulamada yeknesaklığın sağlanması ve ikincil konuların düzenlenmesi amacıyla, tüketicilerin korunması, sektörün ihtiyaçları ve teknolojide yaşanan gelişmeler de dikkate alınarak Elektronik Haberleşme Sektöründe Kişisel Verilerin İşlenmesi ve Gizliliğin Korunmasına İlişkin Yönetmelik Taslağının hazırlandığı, 17/03/2020 tarih ve 2020/DK-THD/077 sayılı Kurul kararı ile anılan Taslağın kamuoyu görüşlerinin alınabilmesini teminen Kurumun internet sitesinde otuz (30) gün süre ile yayımlanmasına karar verildiği, Kuruma iletilen kamuoyu görüşlerinin değerlendirilmesi sonrasında, Taslağın görüşleri alınmak üzere Kişisel Verileri Koruma Kurumu'na (KVKK) gönderildiği anlaşılmakta olup, Kuruma iletilen KVKK görüşleri dikkate alınmak suretiyle, 5809 sayılı Kanun'un 4., 6.,12., 49., 51. ve 60. maddeleri dayanak alınarak, 17/10/2019 tarih ve 30921 sayılı Resmî Gazete’de yayımlanan 2019/22 sayılı Cumhurbaşkanlığı Genelgesi uyarınca, 2002/58/AT sayılı Direktif başta olmak üzere ilgili AB mevzuatı da göz önünde bulundurularak hazırlandığı anlaşılan Elektronik Haberleşme Sektöründe Kişisel Verilerin İşlenmesi ve Gizliliğin Korunmasına İlişkin Yönetmelik 04/12/2020 tarih ve 31324 sayılı Resmî Gazete'de yayımlanarak yürürlüğe girmiştir. Dava konusu Yönetmeliğin "Kapsam" başlıklı 2. maddesinin 1. fıkrasının incelemesi;

Yönetmeliğin "Kapsam" başlıklı 2. maddesinin 1. fıkrasında, "Bu Yönetmelik, elektronik haberleşme sektöründe faaliyet gösteren işletmecilerin tüzel kişi abonelikleri dâhil elektronik haberleşme hizmeti sunulması kapsamında elde ettikleri veriler bakımından uyacakları usul ve esasları kapsar." kuralı yer almaktadır.

Davacı tarafından, anılan maddede tüzel kişilerin de Yönetmelik kapsamına alındığı, oysa tüzel kişilere ait verilerin kişisel veri olarak nitelendirilemeyeceği, 6698 sayılı Kanun'da sadece gerçek kişilere ait kişisel verilerin koruma altına alındığı ileri sürülmektedir. 5809 sayılı Kanun'un "Tanımlar ve kısaltmalar" başlıklı 3. maddesinin 1. fıkrasında, "Abone", "Bir işletmeci ile elektronik haberleşme hizmetinin sunumuna yönelik olarak yapılan bir sözleşmeye taraf olan gerçek ya da tüzel kişi"; "Kullanıcı" ise, "Aboneliği olup olmamasına bakılmaksızın elektronik haberleşme hizmetlerinden yararlanan gerçek veya tüzel kişi" olarak tanımlanmıştır.

Uluslararası düzenlemeler dikkate alınarak işletmecilere yükümlülükler getirilebileceğine ilişkin 5809 sayılı Kanun'da yer alan hükümler doğrultusunda Avrupa Birliği (AB) düzenlemeleri incelendiğinde; elektronik haberleşme sektöründe kişisel verilerin işlenmesi ve gizliliğin korunmasına ilişkin 2002/58/AT sayılı Direktifte tüzel kişileri de kapsayacak düzenlemelere yer verildiği; öte yandan, 2002/21/EC sayılı Çerçeve Direktifte de "tüketici" tanımının yanı sıra "abone", "kullanıcı" ve "son kullanıcı" tanımlarına yer verildiği görülmektedir.

Yönetmeliğin "Riskin ve kişisel veri ihlâlinin bildirilmesi" başlıklı 7. maddesinin 1. fıkrasında, "İşletmeciler, şebekelerinin ve sundukları hizmetlerin güvenliğini tehdit eden belirli bir risk olması durumunda; a) Bu risk hakkında, b) Bu riskin işletmeci tarafından alınan tedbirlerin dışında kalması hâlinde, söz konusu riskin kapsamı ve giderilme yöntemleri hakkında, ilgili aboneleri/kullanıcıları en kısa sürede bilgilendirir." kuralı yer almaktadır.

Davacı tarafından, maddede sözü edilen "belirli bir risk" kavramının sınırlarının belirsiz olduğu, düzenlemeye göre aboneyi etkileyen herhangi bir ihlâl gerçekleşmemişken risk aşamasında olan her durumun abonelere bildirilmesinin işletmeciler ile aboneler arasındaki güven ilişkisini zedeleyeceği ileri sürülmektedir. 5809 sayılı Kanun'un 49. maddesinde, Kurum'un, son kullanıcı ve tüketicilerin azami faydayı elde edebilmeleri ve hizmetlerin şeffaflık ilkesine uygun olarak sunulabilmesi için hizmet seçenekleri, hizmet kalitesi, tarifeler ile tarife paketlerinin yayımlanmasına ve benzer hususlarda abonelerin bilgilendirilmesine yönelik olarak işletmecilere yükümlülükler getirebileceği kurala bağlanmış;

51.maddesinin 4. fıkrasında, "İşletmeciler şebekelerinin, abonelerine/kullanıcılarına ait kişisel verilerin ve sundukları hizmetlerin güvenliğini sağlamak amacıyla uygun teknik ve idari tedbirleri alır.";

12.fıkrasında, " Bu Kanun kapsamında kişisel verilerin gizliliğinin, güvenliğinin ve amacı doğrultusunda kullanılmasının temininden işletmeciler sorumludur." kuralına yer verilmiş; öte yandan, "İşletmecinin hak ve yükümlülükleri" başlıklı 12. maddesinin 2. fıkrasında, Kurumun, işletmecilere sektörün ihtiyaçları, uluslararası düzenlemeler, teknolojide meydana gelen gelişmeler gibi hususları gözeterek "Kişisel veri ve gizliliğin korunması", "Tüketicinin korunması" gibi hususlar başta olmak üzere, mevzuat doğrultusunda yükümlülükler getirebileceği kurala bağlanmıştır.

Aktarılan düzenlemeler uyarınca, elektronik haberleşme sektöründe faaliyet gösteren işletmeciler, elektronik haberleşme hizmetlerinin sunumu sırasında elde ettikleri, abonelere ait kişisel verilerin güvenliğini sağlamakla yükümlü tutulmuş olup, davalı idare tarafından söz konusu yükümlülüğün yerine getirilmesi açısından işletmecilere mevzuatın öngördüğü doğrultuda yükümlülükler getirilebileceği, dava konusu düzenlemenin de bu kapsamda olduğu anlaşılmaktadır. 2002/58/AT sayılı Direktif'te, verilerin güvenliğinin sağlanması ve ihlâllere ilişkin olarak işletmecilerin, verdikleri hizmetlerin güvenliğini garanti altına almak adına gerektiğinde şebeke güvenliği hususunda uygun teknik ve yapısal önlemleri alması gerektiği, teknolojik imkânlar göz önünde tutularak önlemlerin mevcut olan riske uygun güvenlik düzeyini sağlaması gerektiği ifade edilmiş; kişisel verilerin gizliliğine ilişkin belirli bir risk durumunda bu risk hakkında ve bu riskin nasıl bertaraf edileceği konusunda aboneleri bilgilendirme yükümlülüğünün bulunduğu belirtilmiştir.

Yönetmelikte "belirli bir risk" kavramının hangi durumları ifade ettiğinin somut ve açık olarak belirlenmediği ileri sürülmekte ise de, idarelerin önceden saptanması her zaman mümkün olmayan durumlarda, gelişen koşullara ayak uydurmak amacıyla, kurallar hiyerarşisine aykırı olmamak şartıyla, gerekli önlemleri almak veya ortaya çıkan ihtiyaçları karşılayabilmek adına gerekli düzenlemeler yapabilecekleri açıktır.

Bu itibarla, elektronik haberleşme hizmetinin sunumu kapsamında elde edilen, abonelere ait kişisel verilerin taşıdığı hassasiyet ve elektronik haberleşme sektörünün dinamizmi dikkate alındığında, 5809 sayılı Kanun ile Kuruma verilen görev ve yetkiler kapsamında, abonelere ait kişisel verilerin gizliliğinin korunabilmesi amacıyla, şeffaflık ve bilgilendirme yükümlülüğü kapsamında tüketicilerin azami fayda elde edebilmelerini teminen, sektörün ihtiyaçları, teknolojide yaşanan gelişmeler ve uluslararası düzenlemeler dikkate alınarak hazırlanan dava konusu düzenlemede hukuka ve üst hukuk kurallarına aykırılık bulunmadığı, düzenlemenin 2002/58/AT sayılı Direktif ile de uyumlu olduğu anlaşılmaktadır. Dava konusu Yönetmeliğin "Açık rıza alma şartları" başlıklı 8. maddesinin 1. fıkrasının (ç) ve (e) bentlerinin incelenmesi; Yönetmeliğin "Açık rıza alma şartları" başlıklı, 8. maddesinin 1. fıkrasında, "İşletmeciler, aboneden/kullanıcıdan açık rıza alınmasını gerektiren durumlarda aşağıdaki şartları yerine getirir: (...) (ç) İşletmecinin gerekli bilgilendirmeyi yapması sonrasında abonenin/kullanıcının “evet/onay/kabul” şeklindeki irade beyanı yazılı veya elektronik ortamda alınır. Söz konusu irade beyanı rıza alınan duruma özgü olmalıdır. Bu irade beyanı, bir sözleşmenin veya hizmetin kabulü ya da pazarlama amaçlı haberleşmelere onay verilmesi ve benzeri hukuki işlemlere yönelik irade beyanları ile birleştirilemez. (...) (e) Trafik ve konum verilerinin üçüncü taraflara aktarımının söz konusu olduğu durumlar için;

1.Aktarılacak verinin kapsamı,

2.Aktarılacak tarafın adı ve açık adresi,

3.Aktarma amacı ve süresi,

4.Üçüncü tarafın yurt dışında olması halinde verinin aktarılacağı ülkenin adı, şeklindeki bilgiler verilerek ayrıca açık rıza alınır. Bu bilgilerde değişiklik olması halinde tekrar açık rıza alınır. (...)" kuralı yer almaktadır.

Davacı tarafından, Yönetmeliğin 8. maddesinin 1. fıkrasının (ç) bendinde yer alan, abonelerin açık rızasının alınmasına ilişkin olumlu irade beyanının “evet/onay/kabul” şeklinde sınırlandırılmasına ilişkin düzenlemenin ve aynı fıkranın (e) bendinde yer alan, sadece trafik ve konum verilerinin üçüncü kişilere aktarımının söz konusu olduğu durumlarda tekrardan açık rıza alınmasına ilişkin düzenlemenin kanunî dayanağının bulunmadığı ileri sürülmektedir.

Yönetmeliğin 8. maddesinin 1. fıkrasının (e) bendinde, trafik ve konum verilerinin üçüncü tarafa aktarımının söz konusu olduğu durumlarda gerekli bilgilendirme yapılarak açık rıza alınacağı, söz konusu bilgilerde değişiklik olması halinde tekrar açık rıza alınacağının kurala bağlandığı anlaşılmaktadır. 5809 sayılı Kanun'un 49. maddesinin 1. fıkrasında, Kurumun tüketicilerin azami faydayı elde edebilmeleri ve hizmetlerin şeffaflık ilkesine uygun olarak sunulabilmesi için, abonelerin bilgilendirilmesine yönelik olarak işletmecilere yükümlülükler getirebileceği düzenlenmiş olup, trafik ve konum verilerinin hassasiyeti dikkate alındığında, verilerin üçüncü taraflara veya yurtdışına aktarımı öncesinde abonelerin bilgilendirilmesinin ve açık rızalarının alınmasının, anılan Kanun maddesinde belirtilen şeffaflık ilkesine ve bilgilendirme yükümlülüğüne uygun olduğu açıktır.

Öte yandan, kişilerin, trafik ve konum verilerinin üçüncü kişilere aktarılması hususundaki iradeleri belirlenirken, doğru ve sağlıklı bir değerlendirme yapabilmeleri için, konuyla ilgili olarak açık ve yeterli derecede bilgilendirilmelerinde, bu bilgilerde değişiklik olması halinde de tekrar bilgilendirme yapılarak açık rızalarının alınmasında, tüketici hak ve menfaatlerine aykırı bir durum görülmemiştir. Bu itibarla, dava konusu Yönetmeliğin 8. maddesinin 1. fıkrasının (ç) ve (e) bentlerinde hukuka ve üst hukuk kurallarına aykırılık bulunmamaktadır. Dava konusu Yönetmeliğin "Otomatik çağrı yönlendirme" başlıklı 11. maddesinin 1. fıkrasının incelenmesi; Yönetmeliğin "Otomatik çağrı yönlendirme" başlıklı 11. maddesinin 1. fıkrasında, "İşletmeci, aboneye/kullanıcıya, kendisine üçüncü kişilerden gelen otomatik yönlendirmeleri ücretsiz ve basit yöntemlerle durdurma imkânı tanır." kuralı yer almaktadır.

Davacı tarafından, dava konusu düzenlemenin bu hâliyle uygulama imkânının bulunmadığı, zira, otomatik çağrı yönlendirme uygulamasının kapsamının belirsiz şekilde genişletildiği, ayrıca, elektronik haberleşme cihazında (telefon vb.) başka bir numaraya yönlendirme özelliğinin bulunması durumunda yönlendirmeyi engellemenin mümkün olmadığı ileri sürülmektedir. 2002/58/AT sayılı Direktif'in "Otomatik çağrı yönlendirme başlıklı" 11. maddesinde, herhangi bir abonenin terminal cihazına üçüncü bir tarafça yapılan otomatik çağrı yönlendirmesini ücretsiz ve basit bir yöntemle durdurma imkânına sahip olmasının garanti altına alınacağı kurala bağlanmıştır.

Bu itibarla, Kurumun tüketicilerin hak ve menfaatlerinin gözetilmesine ilişkin görevi ve tüketicilerin korunmasına ilişkin işletmecilere yükümlülük getirebilme yetkisi kapsamında, abonelerin/kullanıcıların menfaatine uygun olacak şekilde istenmeyen otomatik çağrı yönlendirmelerinin durdurulmasının amaçlandığı, 5809 sayılı Kanun'un 12. maddesinin 2. fıkrasında yer alan, Kurumun uluslararası düzenlemeler, teknolojide meydana gelen gelişmeler gibi hususları gözeterek, kişisel veri ve gizliliğin korunması, tüketicinin korunması gibi konularda işletmecilere yükümlülük getirebileceğine ilişkin düzenleme de dikkate alındığında, abonelere ait kişisel verilerin gizliliğinin korunması amacıyla, sektörün ihtiyaçları, teknolojide yaşanan gelişmeler ve uluslararası düzenlemeler dikkate alınarak hazırlanan dava konusu düzenlemede hukuka aykırılık bulunmadığı, düzenlemenin 2002/58/AT sayılı Direktif ile de uyumlu olduğu anlaşılmaktadır. Dava konusu Yönetmeliğin "Abonenin/kullanıcının diğer hakları" başlıklı 13. maddesinin 2. ve 4. fıkraları ile Geçici 1. maddesinin 2. fıkrasının incelenmesi;

Yönetmeliğin "Abonenin/kullanıcının diğer hakları" başlıklı 13. maddesinin 2. fıkrasında, "İşletmeciler tarafından her yılın üçüncü çeyreği içinde, mobil numara bilgisi bulunan abonelere/kullanıcılara asgari kısa mesajla, diğerlerine e-posta veya arama yöntemlerinden biri ile olmak üzere, daha önce alınan açık rızaları kapsamında verilerinin işlendiğine dair bilgilendirme yapılır. Aksi durumda daha önce verilen açık rızalar kapsamındaki veri işleme faaliyeti bilgilendirme yapılıncaya kadar durdurulur.";

4.fıkrasında, "Aboneliğin sonlanması halinde, sona erme tarihi itibarıyla, abonenin aksi talebi olmaması halinde daha önce verilen tüm açık rızalar geri alınmış sayılır."; Geçici 1. maddesinin 2. fıkrasında ise, "Bu Yönetmeliğin yürürlüğe girdiği tarihten önce rızaları alınarak verileri işlenen tarafların abonelikleri sona ermesine rağmen açık rızaları olmaksızın verilerin işlenmeye devam etmesi durumunda bu işlem, ilgili mevzuatta yer alan yükümlülükler saklı kalmak kaydıyla, bu Yönetmeliğin yürürlüğe girdiği tarihi takip eden bir ay içinde durdurulur." kuralı yer almaktadır.

Davacı tarafından, dava konusu Yönetmelik maddelerinde yer alan düzenlemelerin, kanunî dayanağının bulunmadığı, abonelerin daha önceden vermiş oldukları açık rızalarını diledikleri zaman geri alabilme haklarının bulunduğu, Kurum'un aboneler tarafından verilen açık rızaları geri alma yetkisinin bulunmadığı; ayrıca, Yönetmeliğin 13. maddesinin 2. fıkrasında yer alan kuralın, her yılın üçüncü çeyreğinde mutad bilgilendirme yükümlülüğü getirilmesinin işletmecilere gereksiz bir iş yükü oluşturacağı;

4.fıkrasında yer alan kuralın ise, aboneliğin sonlanması hâlinde açık rızaların geri alınmış sayılmasının sözleşme ilişkisinden kaynaklanan haklarının kısıtlanmasına sebebiyet vereceği ileri sürülmektedir. 5809 sayılı Kanun'un "Şeffaflığın sağlanması ve bilgilendirme” başlıklı 49. maddesinin 1. fıkrasında, Kurumun, son kullanıcı ve tüketicilerin azami faydayı elde edebilmeleri ve hizmetlerin şeffaflık ilkesine uygun olarak sunulabilmesi için hizmet seçenekleri, hizmet kalitesi, tarifeler ile tarife paketlerinin yayımlanmasına ve benzer hususlarda abonelerin bilgilendirilmesine yönelik olarak işletmecilere yükümlülükler getirebileceği;

Öte yandan, aynı Kanun'un 51. maddesinin 7. fıkrasında, ihtiyaç duyulan trafik verileri ile konum verilerinin, anonim hâle getirilerek veya abonelerin açık rızalarının alınması ve sadece işletmeci tarafından yetkilendirilen kişilerle sınırlı kalmak kaydıyla, belirtilen faaliyetlerin gerektiği ölçü ve sürede işlenebileceği;

10.fıkrasının (c) bendinde ise, kişisel verilerin işlenmesine yönelik abonelerin rızalarını gösteren kayıtların asgari olarak abonelik süresince saklanacağı hüküm altına alınmıştır.

Kanun koyucu tarafından, elektronik haberleşme sektörüne ilişkin konuların, tüketicilerin veya kişisel verilerin gizliliğinin korunması gibi genel nitelikli kanunlardan ayrılarak, elektronik haberleşme sektörüne özgü uluslararası düzenlemelerin de dikkate alınması suretiyle 5809 sayılı Kanun ile düzenlendiği; anılan Kanun'un konuya ilişkin aktarılan düzenlemeleri uyarınca işletmecilerin, elektronik haberleşme hizmetinin şeffaflık ilkesine uygun şekilde sunulabilmesini teminen, bilgilendirmenin gerekli olduğu her durumda talep olmaksızın tüketicileri bilgilendirme yükümlülüğünün bulunduğu, ayrıca Kurum'un tüketicilerin hak ve menfaatlerinin gözetilmesine ilişkin görevi ve tüketicilerin korunmasına ilişkin işletmecilere yükümlülük getirebilme yetkisi kapsamında tüketicilerin, azami faydayı elde edebilmeleri ve hizmetlerin şeffaflık ilkesine uygun şekilde sunulabilmesi için işletmecilere yükümlülükler getirebileceği dikkate alındığında, dava konusu düzenlemelerin kanunî dayanağının bulunduğu; aboneler tarafından verilerinin işlenmesine yönelik olarak açık rıza verdikten sonra senede bir defa, verilerinin işlendiği hususunda bilgilendirilmelerinin tüketici hak ve menfaatlerinin korunması bakımından gerekli olduğu, söz konusu bilgilendirmeler yapılıncaya kadar, veri işleme faaliyetlerinin durdurulmasına ilişkin kuralın ise, bilgilendirme mekanizmasının düzenli ve sağlıklı bir şekilde işleyebilmesi için gerekli olduğu; öte yandan, abonelik ilişkisinin sonlanması üzerine, işletmeci ile herhangi bir hukukî bağının kalmadığını düşünen tüketicilerin, işletmecilerin kişisel verilerini işleme faaliyetine son vereceği beklentisi taşımasının hayatın olağan akışına uygun olduğu, aboneliğin sona ermesine rağmen, verilerin işlenmeye devam edilmesinin tüketici mağduriyetine sebep olabileceği, 5809 sayılı Kanun'un 51. maddesinin 10. fıkrasının (c) bendinde, abonelerin/kullanıcıların açık rızalarının abonelik sözleşmesinin sona ermesinden sonra da devam edeceğinin değil, kişisel verilerin işlenmesine yönelik abonelerin/kullanıcıların açık rızalarını gösteren "kayıtların" asgari olarak abonelik süresince saklanacağının kurala bağlandığı; benzer şekilde, Yönetmeliğin yürürlük tarihinden önce rızası alınarak aboneliği sonlanmasına rağmen açık rızaları olmaksızın abonelerin kişisel verilerinin pazarlama gibi açık rıza gerektiren amaçlarla Yönetmeliğin yürürlük tarihi sonrasında da işlenmeye devam edilmesinin tüketici mağduriyetine sebep olabileceği anlaşılmaktadır.

Bu itibarla, Kurum'un tüketicilerin hak ve menfaatlerinin gözetilmesine ilişkin görevi ve tüketicilerin korunmasına ilişkin işletmecilere yükümlülük getirebilme yetkisi kapsamında, tüketicilerin azami faydayı elde edebilmeleri ve hizmetlerin şeffaflık ilkesine uygun olarak sunulabilmesi amacıyla yapıldığı anlaşılan ve birbirini tamamlar nitelikteki dava konusu düzenlemelerin, kişisel verilerin işlenmesinin, işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olması ile işlendikleri amaç için gerekli olan süre kadar muhafaza edilmesi ilkelerine uygun olduğu görüldüğünden, söz konusu düzenlemelerde hukuka ve üst hukuk kurallarına aykırılık bulunmadığı sonucuna ulaşılmıştır. KARAR SONUCU: Açıklanan nedenlerle;

1.DAVANIN REDDİNE,

2.Ayrıntısı aşağıda gösterilen toplam …-TL yargılama giderinin davacı üzerinde bırakılmasına,

3.Avukatlık Asgari Ücret Tarifesi uyarınca …-TL vekâlet ücretinin davacıdan alınarak davalı idareye verilmesine,

4.Posta giderleri avansından artan tutarların kararın kesinleşmesinden sonra davacıya iadesine,

5.Bu kararın tebliğ tarihini izleyen 30 (otuz) gün içerisinde Danıştay İdari Dava Daireleri Kurulu'na temyiz yolu açık olmak üzere, 23/05/2023 tarihinde oybirliğiyle karar verildi.

Karar Etiketleri